密钥管理服务 (Key Management Services, KMS) 使用客户端-服务器模型来激活 Windows 客户端。 KMS 用于本地网络上的批量激活。 KMS 客户端连接到 KMS 服务器(称为 KMS 主机)进行激活。 KMS 主机可以激活的 KMS 客户端取决于用于激活 KMS 主机的主机密钥。
本文将指导您完成创建 KMS 主机所需的步骤。 有关 KMS 和初始规划注意事项的更多信息,请参阅 密钥管理服务 (KMS) 激活计划。
先决条件
单个 KMS 主机可以支持无限数量的 KMS 客户端。 如果您的客户端超过 50 个,我们建议您至少拥有两个 KMS 主机,以防其中一个 KMS 主机不可用。 大多数组织的整个基础设施只需两台 KMS 主机即可运行。
KMS 主机不需要是专用服务器。 您可以在 KMS 主机上托管其他服务。 您可以在运行受支持的 Windows Server 或 Windows 客户端作系统的任何物理或虚拟系统上运行 KMS 主机。
您用于 KMS 主机的 Windows 版本决定了您可以为 KMS 客户端激活的 Windows 版本。 有关确定哪个版本适合您的环境的帮助,请参阅 激活版本表。
默认情况下,KMS 主机在您的域名系统 (DNS) 中发布服务 (SRV) 资源记录。 因此,KMS 客户端可以自动发现 KMS 主机并激活,而无需在 KMS 客户端上进行任何配置。 您可以禁用自动发布并手动创建记录。 如果 DNS 服务不支持动态更新,则需要执行这些步骤才能进行自动激活。
要创建 KMS 主机,您需要满足以下先决条件:
- 运行 Windows Server 或 Windows 的计算机。 在 Windows Server 上运行的 KMS 主机可以激活同时运行服务器和客户端作系统的计算机。 但是,在 Windows 客户端作系统上运行的 KMS 主机只能激活同时运行客户端作系统的计算机。
- 一个用户账户,它是 KMS 主机上 Administrators 组的成员。
- 彼此兼容的 KMS 和客户端版本,以及可以托管 KMS 的 Windows 版本。 有关更多信息,请参阅 密钥管理服务 (KMS) 激活计划。
- 组织的 KMS 主机密钥。 可以从 Microsoft 365 管理中心获取此密钥。 有关更多信息,请参阅 查找和使用批量许可的产品密钥。
- 访问 Internet 以激活 KMS 主机或执行电话激活。
安装和配置 KMS 主机
要安装和配置 KMS 主机,请按照以下部分中的步骤作。
安装批量激活服务角色
要安装批量激活服务角色,请在提升的 PowerShell 会话中运行以下命令:
Install-WindowsFeature -Name VolumeActivation -IncludeManagementTools
配置 Windows 防火墙
配置 Windows 防火墙以允许 KMS 接收网络流量。 您可以允许任何网络配置文件(默认设置)或域、私有和公共网络配置文件的任意组合使用此流量。 默认情况下,KMS 主机配置为在端口 1688 上使用传输控制协议 (TCP)。
要将防火墙规则配置为仅允许 Domain (域) 和 Private (私有) 网络配置文件的网络流量,请运行以下命令:
Set-NetFirewallRule -Name SPPSVC-In-TCP -Profile Domain,Private -Enabled True
使用 Volume Activation Tools 向导配置主机
通过运行以下命令打开 Volume Activation Tools 向导:
vmw.exe在简介页面上,选择 下一步。
对于激活类型,请选择 Key Management Service (KMS) (密钥管理服务 (KMS))。 对于服务器,输入 localhost 以配置本地服务器。 如果要配置其他服务器,请输入其主机名。 选择“下一步”。
选择 Install your KMS host key (安装 KMS 主机密钥),输入您组织的产品密钥,然后选择 Commit (提交)。
安装产品密钥后,选择 下一步 激活产品。
在 Select product (选择产品) 下,选择要激活的产品,然后选择激活方法。 要联机激活密钥,请选择 Activate online (联机激活),然后选择 Commit (提交)。 如果系统提示您确认激活 KMS 主机,请选择 Yes (是)。
完成配置
激活成功完成后,将显示 KMS 主机配置。
如果配置设置满足您的要求:
- 选择关闭以退出向导。 系统会创建 DNS 记录,您可以开始 激活 KMS 客户端。
- 如果您需要手动创建 SRV 记录来发布 KMS 主机,请参阅本文后面的 手动创建 DNS 记录 。
如果要更改配置设置:
- 选择“下一步”。
- 根据您的要求更改配置值,然后选择 Commit (提交)。
注释
您现在可以开始 激活 KMS 客户端。 但是,网络必须首先具有最小数量的计算机(称为激活阈值)。 KMS 主机会跟踪最近的连接数。 当客户端或服务器联系 KMS 主机时,主机会记下计算机 ID,增加触点计数,然后在其响应中返回当前计数。 如果计数足够高,则激活客户端或服务器:
- 如果计数为 25 个或更大,则激活 Windows 客户端。
- 如果计数为 5 或更大,则激活 Microsoft Office 产品的 Windows Server 和卷版本。
在计数中,KMS 仅包含过去 30 天的唯一连接,并且仅存储最近的 50 个联系人。
手动创建 DNS 记录
如果您的 DNS 服务不支持动态更新,则必须手动创建资源记录才能发布 KMS 主机。 使用以下信息使用 DNS 服务手动为 KMS 创建 DNS 资源记录。 如果您更改 KMS 主机配置中的默认端口号,请同时调整用于资源记录的端口号。
| 资产 | 价值 |
|---|---|
| 类型 | SRV |
| 服务/名称 | _vlmcs |
| 协议 | _tcp |
| 优先度 | 0 |
| 重量 | 0 |
| 端口号 | 1688 |
| 主机名 | <KMS 主机的 FQDN> |
如果您的 DNS 服务不支持动态更新,您还应该在所有 KMS 主机上禁用发布。 有关说明,请参阅本文后面的 禁用 DNS 记录发布 。 通过禁用发布,可以防止事件日志收集失败的 DNS 发布事件。
小窍门
手动创建的资源记录也可以与 KMS 主机在其他域中自动发布的资源记录共存,只要保留所有记录以防止冲突即可。
禁用 DNS 记录的发布
要禁用 KMS 主机发布 DNS 记录:
通过运行以下命令打开 Volume Activation Tools 向导:
vmw.exe在简介页面上,选择 下一步。
对于激活类型,请选择 Key Management Service (KMS) (密钥管理服务 (KMS))。 对于服务器,输入 localhost 以配置本地服务器。 如果要配置其他服务器,请输入其主机名。 选择“下一步”。
选择 Skip to Configuration(跳到 Configuration),然后选择 Next(下一步)。
在 DNS Records (DNS 记录) 旁边,清除 Publish (发布 ) 复选框,然后选择 Commit (提交)。